问答:窃听选举的神话与现实

问答:窃听选举的神话与现实

在今年的总统选举中,选举窃听已经成为一个关键话题,现在更是如此,因为候选人和选民正被假定是在俄罗斯支持下行动的演员积极锁定。

在CSO在线的黑客意见系列的这个修改版中,我们通过与一些安全专家交谈,探索黑客攻击选举的神话和现实。

“全国大选不太可能真的被黑客入侵来改变选举结果。选民登记数据库最近被证明是脆弱的,但添加、修改或删除记录并不会产生预期的效果(改变结果);这只会让人对选举日数据库的完整性产生疑问。

因此,如果想要的结果是篡改,或者质疑系统本身的完整性,冈德特补充说,那么就有可能“入侵”全国选举,“尤其是如果大多数选民登记数据库遭到破坏。”

这样的任务可以通过互联网远程完成(正如我们最近在亚利桑那州和伊利诺伊州看到的那样),也可以由内部人员完成。

冈德特解释说,根据BallotPedia提供的州信息,佛罗里达等摇摆州使用无纸记录的直接记录电子(DRE)系统的选区是唯一有点问题的选区。

“DRE系统是计算机,所以有多种方法可以攻击它们,特别是如果你在供应链的早期就可以使用组件的话。不过,如果操作系统和应用程序还没有被篡改,那么在选举日通过互联网进行远程访问的可能性就非常小,因为这些系统将无法连接到互联网。”

但是,如果攻击者能够物理访问DRE系统,那么可以添加额外的硬件(蓝牙、WiFi、GSM、CMDA等),以便在以后进行远程访问,“但同样,所需硬件添加的规模是不切实际的,”Gundert说。

不过,投票机的漏洞是否应该让任何人大吃一惊?HackerOne的首席技术官兼联合创始人亚历克斯•赖斯(alexrice)指出,老虎机目前比投票机有更多的安全保障和监管。

“投票机易受攻击这一事实不应该让任何人感到惊讶,所有的技术都被证明是易受攻击的,而这些计算机系统也没有什么不同。投票计算机没有受到基本的安全最佳实践的约束,例如第三方源代码审查、漏洞披露和任何级别的透明同行审查,而这些都是关键系统在依赖我们的民主之前应该经历的。

这个 答案取决于使用的投票机制, 冈德特说。与纸面选票相比,DRE带来了复杂性,但对于计划劫持选举的人来说,真正的挑战是影响选举结果所需的篡改规模。因此,仅从努力的规模来看,地方选举比全国选举更容易协调。

赖斯说:“在全国和地方选举中都存在同样的问题,但有几个不同的特点影响着风险与回报,”他对这个问题提出了自己的看法。

“一方面,地方选举的利害关系较低,因此,在地方选举妥协中有既得利益的对手可能不那么先进。另一方面,较小的统计样本和较低的审查水平意味着攻击更有可能不被发现。”

赖斯说:“一个动机充分的对手将不乏折衷投票电脑的可行策略。”。

投票系统,在大多数情况下,运行的是寿命终止的windowsxp,没有安全更新,这是一个严重的问题。赖斯还说,攻击的另一层是互联系统,“我们没有看到任何证据表明这些计算机普遍存在永久性的气隙。”。

其他风险和攻击类型包括拒绝服务,这可能导致目标区域的计算机无法运行。

“最关键的是,缺乏透明度妨碍了任何合理的保证,即投票窃听没有发生。这种挥之不去的怀疑是阴谋论者争夺选举结果的肥沃温床,而这种方式是无法强烈反驳的。赖斯说:“我们无法对选举过程的真实性保持高度信心,这本身就是对民主的威胁。”。

“如果DRE运行正常,则不太可能检测到在没有纸迹的情况下篡改DRE系统。显然,亚利桑那州和伊利诺伊州未经授权访问选民登记数据库的行为已经被发现。

赖斯补充说,透明度问题再次发挥作用,因为没有透明度,人们对检测此类篡改的控制手段知之甚少这是不够的。”。

“假设攻击者可以访问大量的DRE系统(这是极不可能的),并改变可移动媒体,潜在的动机将是多种多样的。冈德特说:“一种可能性是,民族国家致力于破坏/混乱。

Skyport Systems首席执行官阿特·吉利兰(Art Gilliland)表示,一个可能的目标可能是基于间谍活动,重点是候选人之间的政策转变。

[更多关于CSO的信息:你能破解投票吗?是的,但不是你怎么想的]

“例如,亲俄与敌对的立场将在国际关系中产生巨大的差异。另一个选择就是制造混乱,比如选择大卫杜克。无政府主义者和黑客行动主义者(如匿名者)会这么做,只是为了表明自己的观点。”

赖斯说:“问题是假设我们能发现妥协。”。

“即使是在更成熟的安全系统中,我们仍然只检测到少数妥协,相信投票系统对这一属性免疫是傲慢的。唯一谨慎的做法是,既要得出妥协是可能的结论,又要得出极难察觉的结论。”

过去一年发生的事情很难辩驳。犯罪黑客从世界上一些最先进的公司和组织那里窃取了数百万份记录和数百万美元,他们让事情看起来很简单。

“民族国家一直在入侵敏感系统,我们最好最聪明的人在保卫我们。吉利兰说:“修改由志愿者操纵和监控的投票系统对黑客社区来说基本上是‘儿戏’。”。

当被问及这个故事时,Bromium的首席技术官西蒙•克罗斯比(simoncrosby)提出了一些有趣的观点。他说,网络偏执症正导致一种新的荒谬状态——主角是那些很容易被称为“网络路德派”的人

“他们的叙述是这样的:‘最可信的安全研究人员同意,建立一个安全的投票系统是不可能的。因此,我们应该永远坚持用纸。”

坚持使用纸质投票系统有着巨大的缺陷。有人记得吊死查德吗?建立一个完善的投票制度是不可能的。但是,我们在构建设计上非常安全的计算机系统方面(总体上)做得非常好。这类系统经过独立专业人员的适当审计和测试,将提高投票的准确性,并使世界取得实质性进展。”